特定のプレフィックスに AS パス プリペンドを使用して eBGP を設定する方法

特定のプレフィックスに AS パス プリペンドを使用して eBGP を設定する方法

7511
Created On 09/04/23 20:03 PM - Last Modified 05/30/25 20:48 PM


Objective


このドキュメントでは、Palo Alto Networks ファイアウォールの特定のプレフィックスに対して AS パス プリペンド属性を使用して eBGP を設定する方法について説明します。 AS パス属性を操作すると、Palo Alto Networks ファイアウォールは、拡張 AS パス リストを使用して手元のプレフィックスをアドバタイズします。 この設定は、BGPピアにとってルートの優先度を低くするために一般的に使用されます。

Environment


このドキュメントの情報は、これらのソフトウェアやハードウェアのバージョンに基づいています。

 

  • PAN-OS 10.2.0 を実行する VMWare ESXi でホストされる PA-VM

Procedure


ネットワーク ダイアグラム

 

この例では、Palo Alto Networks ファイアウォールは 192.168.13.0/24 と 192.168.14.0/24 の 2 つのプレフィックスを BGP ピアにアドバタイズします。 AS パス属性の操作は 192.168.14.0/24 プレフィックスにのみ適用されるため、このルートは BGP ピアにとってあまり適していません。

ネットワーク図.png

構成

 

ステップ 1. ファイアウォール Web インターフェイスを開き 、[ネットワーク>仮想ルータ] に移動します。 BGP が設定される仮想ルータインスタンスを編集または追加します。
 

1. png

ステップ 2. [ Virtual Router ]ウィンドウで、[ BGP ]タブに移動し、[ Enable ]チェックボックスをオンにします。 ルータ ID として使用する IP アドレスと、ファイアウォールの AS 番号を定義します。 [ Install Route ] オプションにチェックを入れて、ファイアウォールがグローバル ルーティング テーブルに BGP ルートをインストールできるようにします。

2. png

ステップ 3. [ ピア グループ(Peer Group )] タブに移動し、[ 追加(Add)] を選択します。 [Virtual Router - BGP - Peer Group/Peer] ウィンドウで、名前を定義し、[Type] ドロップダウンメニューで [EBGP] を選択します。

3. png

[ 追加 ] を選択して、BGP ピアの情報を追加します。 [ Virtual Router - BGP - Peer Group - Peer] ウィンドウで、ピアの [Name ] を定義し、[ Peer AS number] を指定します。 ファイアウォールAがBGPネイバー関係で使用するローカルインターフェイスとIPアドレスを選択し、ピアIPを定義します。

3.1. png

ステップ 4. [ Redis ルール ] タブに移動し、 [ 追加] を選択します。 [Virtual Router - BGP - Redistribute Rules - Rule] で、再配布プロファイルを作成または選択します。 この例では、 接続プロファイル を使用して192.168.13.0/24と192.168.13.14.0/24をアドバタイズします。

4. png

ステップ 5. AS パス属性を変更するには、[ Export ] タブに移動し、[ Add] を選択します。エクスポート ルールの名前を定義し、[ 追加(Add )] を選択して、ステップ 3 で設定した BGP ピア グループを指定します。

5. png

[ Match ]タブに移動し、ASパスのフィルタリングに使用する ASパス正規表現 を定義します(この場合、 ^$ は、ASによって発信されたすべてのルートを照合するために使用されます)。 [アドレス プレフィックス(Address Prefix)] セクションで [追加(Add)] を選択して、AS パス属性を操作する必要があるサブネットを指定します(この場合、AS パスの先頭は 192.168.14.0/24 サブネットにのみ適用する必要があります)。

5.1.png

「アクション」タブに移動し、「アクション」ドロップダウンメニューで「許可」を指定します。 [AS パス(AS Path)] セクションの [タイプ(Type)] ドロップダウンで [先頭(Prepend)] を指定し、属性を先頭に追加する回数を定義します。 [ OK] を選択します。

5.2.png

デフォルトでは、上記のエクスポートルールが設定されると、暗黙的な拒否ルールがトリガーされます。 そうは言っても、ステップ 4 で設定した再配布プロファイルで定義された残りのプレフィックスをエクスポートするには、2 番目のエクスポート ルールが必要です。 [ エクスポート ] タブに移動して [ 追加 ] を選択し、エクスポート ルールの名前を定義して [ 追加 ] を選択し、手順 3 で設定した BGP ピア グループを指定します。

5.3.png

[Match] タブでは、AS パス正規表現 ^$ を保持し、プレフィックスを指定しないため、ルールは再配布プロファイルのすべてのプレフィックスに適用されます。

5.4.png

[Action] タブで、[Action] ドロップダウン メニューで [Allow] を指定します。 [ OK] を選択すると、2 番目のルールをエクスポート ルールに追加できます。 変更 をファイアウォールにコミットします。

5.5.png

確認

 

プッシュが完了したら、[ Network > Virtual Routers ] に移動し、[ More Runtime Stats] を選択します。 [ Virtual Router ]ウィンドウで、[ BGP > Peer]に移動し、BGPピアを [Established]にする必要があります

6. png

AS パス プリペンドが適用されていることを確認するには、[ RIB Out ] タブに移動します。 拡張 AS パス リストは、目的のネットワークに対してのみ表示されます。

6.1. png

オーナー: Dperezvertti

Additional Information


https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClKyCAK
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000XgMNCA0&lang=ja&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language